ANPD divulga lista dos primeiros processos sancionatórios

Relação indica nome da parte e a conduta a ser apurada pela autarquia

26 Abril 2023

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, em 23 de março, a lista dos processos sancionatórios instaurados pela Coordenação-Geral de Fiscalização (CGF) contra empresas e órgãos públicos. São, inicialmente, oito processos administrativos.

Em linhas gerais, entre as oito entidades fiscalizadas, sete são órgãos do setor público e somente uma do setor privado. Apesar de a lista indicar que a fiscalização priorizou o setor público, ainda não é possível afirmar se a ANPD manterá esse critério ou voltará seu foco para empresas privadas a partir de agora.

Quanto às condutas investigadas, elas envolvem, em sua grande maioria:

ausência de comunicação a titulares sobre incidente de segurança; e
ausência de medidas de segurança.

Era de se esperar que a ANPD, pelo menos a princípio, concentrasse suas investigações na ocorrência de incidentes, devido ao dano que essa conduta pode causar aos titulares.

Contudo, a lista divulgada evidencia que a ANPD não pretende atuar somente para remediar situações resultantes de incidentes de segurança. O caráter preventivo fica evidente quando se verificam investigações sobre:

ausência de comprovação de hipótese legal;
ausência de registro de operações;
não envio de Relatório de Impacto de Proteção de Dados; e
ausência de encarregado de dados pessoais.

Todas essas medidas são previstas pela Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD) como obrigatórias e o seu não cumprimento caracteriza infração à legislação. Por esse motivo, a ANPD poderá fiscalizar as empresas, mesmo sem a ocorrência de incidente que gere dano direto aos titulares.

Sobre o Relatório de Impacto de Proteção de Dados (RIPD) – um dos tópicos de fiscalização –, a ANPD deve publicar em breve um documento com perguntas e respostas para ajudar a elaborá-lo.

Ainda que a íntegra das orientações não tenha sido divulgada até o momento, o voto do conselho diretor divulgado recentemente, além de indicar que um documento sobre o assunto deverá ser publicado, demonstrou que, possivelmente:

o RIPD deverá ser feito somente em casos de alto risco à garantia dos princípios gerais de proteção de dados pessoais e às liberdades civis e direitos fundamentais do titular, já que todo tratamento envolve risco aos titulares em alguma medida;
a ANPD não se manifestará individualmente sobre consultas jurídicas relacionadas a situações concretas. Contudo, eventuais dúvidas e questionamentos enviados serão utilizados para fins estatísticos e para direcionar a atuação regulatória e emissão de orientações;
não haverá necessidade de indicar exaustivamente os dados tratados no RIPD, para evitar informação excessiva e pouco eficiente.

O documento oficial deverá ser publicado no site da ANPD e, provavelmente, trará mais informações sobre os critérios e o conteúdo que a autarquia espera encontrar no RIPD.

INTELIGÊNCIA JURÍDICA

Relação indica nome da parte e a conduta a ser apurada pela autarquia

Autores

INTELIGÊNCIA JURÍDICA

ANPD divulga lista dos primeiros processos sancionatórios

Relação indica nome da parte e a conduta a ser apurada pela autarquia

Autores

Assuntos Relacionados

E-book: Guia prático para a nova era das apostas on-line

E-book: A transformação digital no caminho para a inovação

Advogados incorporam IA à rotina para acelerar processos

Governo institui a Política Nacional de Cibersegurança

Gaming, betting e eSports: caminho para a segurança jurídica

Consulta Pública 97/2023

BCB abre consulta pública sobre mercado de ativos virtuais

AI ACT: o que podemos aprender com a iniciativa europeia?